VI.

AMBITO DE CONTROL

EVALUACION DE LA FUNCION INFORMTICA:

1era Gran area de interes del auditor: Admin. Del procesamiento de datos.

Dependen de la Funcion Informtica:

-Calidad sistemas

-Nivel aprovechamiento TI

-Desempeo del personal de computo

Auditor debe conocer:

La forma en que se est administrando la funcin informtica.

El rumbo que se le est dando.

Las directrices que se han dictado.

Las prioridades que se han establecido.

La normativa que rige la actividad.

El nivel de motivacin que posee el personal involucrado.

Las inversiones que se piensan realizar.

Los planes de capacitacin, entre otros.

5 areas que se evaluan:

1. Evaluacin de la participacin gerencial en el proceso informtico.

2. Evaluacin de los procesos de planeamiento.

3. Evaluacin de la organizacin.

4. Evaluacin de la direccin.

5. Evaluacin de los mecanismos de control.

1. EVALUACIN DE LA PARTICIPACIN GERENCIAL EN EL PROCESO INFORMTICO

- TI tiene connotacin estratgica.

- Alta dependencia de sistemas automatizados en organizaciones.

-La funcin de la Informtica es de Apoyo.

- Funcin Informtica debe estar dirigida a apoyar cumplimiento de objetivos y metas de la

organizacin.

AUDITOR DEBE verificar:

 - Quien administra la Funcion Informtica conoce misin, objetivos y metas org.
- La tecnologa se usa para alcanzar esos propsitos.

2. EVALUACIN DE LOS PROCESOS DE PLANEAMIENTO

- Se requiere planeamiento ordenado y sistematico.

- Planeamiento a niveles:

2.1. Plan Estratgico Informtico (PE):

* Define visin a largo plazo para la Funcin Informatica.

* Se da idea de hw y sw a usarse, aplicaciones a desarrollar, prioridades.

*Establece rumbo informtico para periodo 3 5 aos.

*SIN ESTE PLAN: Area de TI sin rumbo.

* AUDITOR DEBE: promover la creacin de este plan.

*PERMITE AL AUDITOR CONOCER:

- Arqu. Bsica de hw para la empresa.

- Herramientas sw basicas para desarrollar.

- Inventario de SI a construir.

2.2. Plan operativo anual (POA):

* Define actividades informticas a realizarse en el periodo de 1 ao.

* Vinculado con el Plan Estratgico.

* Coordinacin de TI con reas usuarias: crear coherencia entre actividades.

* AUDITOR DEBE:

- Evaluar consistencia del plan respecto al PE.

- Comparar POA de otras areas y de TI para ver nivel de coordniacin.

- Analizar ejecucin de los planes, reportar retrasos.

2.3. Planeamiento de los procesos de desarrollo

* Durante el desarrollo de apps se requiere mas participacin de usuarios.

* Se definen Costos y uso de herramientas para control de proyectos.

* AUDITOR DEBE:

- Verificar que se pueda medir Costos estimados vs Costos reales.

- Verificar que el plan detecte atrasos en ejecucin de actividades.

- Recomendar uso de herramientas de planeamiento de proyectos.

 2.4 Planes de capacitacin

* La direccin Informtica debe proponer planes de capacitacin para :

usuarios/ personal de computo, para que esten acorde a la actualidad.

* AUDITOR DEBE:

- Analizar programas de capacitacin ( acorde a tendencias del

mercado)

- Asesorar a direccin informtica sobre temas para el personal.

2.5. Planes de adquisicin

* Define planeamiento de compra de hw y sw.

* Calendarizacin de adquisiciones.

* Analizar medidas de rendimiento y anticipar hw y sw demandado por la org.

* Compra fundamentada con referencias de proveedores.

* AUDITOR DEBE:

- Evaluar: presupuestos de adquisiciones, invitacin de proveedores,

evaluacin de ofertas, comra y entre de adquisiciones. Todo de acuerdo al plan.

- Alertar sobre adquisiciones improvisadas.

- Asesorar en la compra de hw y sw.

2.6. Planes de conversin

* Eventos que generar conversin: cambio de computador, versin de sw,

version de una app.

* Estos eventos implican cambio en la forma de operar.

* La conversin requiere que se haga un plan que asegure la continuidad del

servicio informtico.

*EL PLAN DEBE CONTEMPLAR:

- Calendarizacin de cuando habr una conversin.

- Respaldo de apps.

- Pruebas minimas

- Convocatoria de usuarios/personal para hacer pruebas.

- Charlas y boletines para informar del cambio.

- Definicin de responsabilidades de dif. Participantes.

* AUDITOR DEBE:

- Estar atento a los cambios que se piensan realizar para alertar y

asesorar sobre los aspectos a considerar en la conversin.
 2.7. Planes de contingencia.

* Planes para asegurar alto grado de disponibilidad de los servicios

informticos para continuidad de operaciones empresariales.

*Identificar posibles riesgos que afecten la operacin diaria y elaborar planes

para minimizar el impacto.

* AUDITOR DEBE:

- Evaluar grado de preparacin para las contingencias y eficacia de

planes.

- Medir si el presupuesto de este plan esta acorde a la importancia de

TI en la empresa.

- Participar en procesos de prueba de los planes para medir eficacia.

3. EVALUACIN DE LA ORGANIZACIN

- Organizacin del area de TI es importante para la auditoria.

- Proceso de organizar : estructura recursos, flujos de info y controles par alcanzar objetivos de
la planificacin.

3.2. Ubicacin dentro del organigrama.

- Funcin Informatica debe estar a nivel staff, debe ser independiente de areas
usuarias.

- Si TI esta integrado a un dep. usuario surge duda sobre ecuanimidad ra atender al

resto de areas.

- AUDITOR DEBE:

- Analizar si la ubicacin en el organigrama le da independencia para actuar

con autonoma a TI.

- Sugerir la reubicacin del area de TI ( si es necesario)

3.3 Definicin de funciones y responsabilidades.

- Efectuar clasificacin de puestos para definir funciones y responsabilidades de cada puesto.

- Esta clasificacin permite definir cargas de trabajo para cada puesto.

- Se debe conocer: interrelaciones, nivel de centralizacin de tareas, ambito de toma de

decisiones de cada puesto, mecanismos de comunicacin y autoridad.

- Generar estandares de funcionamiento y procedimientod ( documentados, actualzados y

comunicados a todos)

- RRHH es elemento critico: seleccin y mantenimiento adecuado.

- La divisin de puestos y funciones limita acceso a computadoras, datos, programas fuente y

objeto, documentacin -> Dao potencial de cualquier persona se reduce.
- AUDITOR DEBE:

- Evaluar como se desarrolan los estandares y procedimientos.

- Revisar puestos para ver si reflejan las tareas realizadas en la practica.

- Verificar que funcionarios no se excedan respecto a sus funciones.

- Evaluar que las funciones importantes se realicen.

- Recomendar a direccion TI actualizacin de funciones.

- Evaluar seleccin de personal: criterios objetivos.

- Revisar que se evalue empleados de acuerdo a los estandares.

- Revisar que exista la division de funciones en TI.

- Identificar actividades que requieran definicion clara de procedimientos de operacin

y que esten documentados.

- Atencin a los procedimientos ligados al mantenimiento de sistemas.

- Poner atencin sobre procedimientos de actualizacin de base de datos.

- Atencin a procedimientos de ejecucin de respaldos, procesos especiales y listado

de informacin clave.

- Revisar nivel de automatizacion del area de TI.

- Enfasis en la separacin de funciones y mecanismos de supervisin y su nivel de

automatizacin.

3.5. Normativa, metodologas y estndares

- Las org deben crear la normativa de carcter interno para definir politicas de carcter general
en informtica. Ejm: Tratamiento de datos, confidencialidad de info, cuidado de equipo, etc.

- La normativa debe regular aspectos como:

- Clasificacion de datos: por sensibilidad, y restringir acceso.

- Responsabilidad de trabajadores en el uso de sus codigos de accesos a SI.

- Politicas Institucionales para evitar contagio de virus.

- Mecanismos de archivo y destruccin de reportes.

- Regulaciones para el uso apropiado de los equipos.

- Procedimientos para compra, alquiler o sustitucin de equipos.

- EL AUDITOR DEBE:

- Revisar normativa existente en desarrolloy mantenimiento de apps.

- Revisar que el personal cumpla los eestndares y metodologias.

3.6. Distribucin Fisica:

- Existen factores que inciden en el rendimiento del personal de cmputo:

Ruido,

Temperaturas fuertes

Cantidad de luz

Alto trfico de personas por la zona donde labora el personal

Ubicacin de las estaciones de trabajo

Distribucin de las lneas elctricas y de comunicacin.

Nivel de hacinamiento del personal

EL AUDITOR DEBE:

-Verificar que las instalaciones, en el rea de informtica, renan condiciones mnimas para
lograr que el personal alcance los niveles de concentracin y productividad necesarios.

VII. CONTROL INTERNO y AUDITORIA y RIESGOS

2. PRINCIPALES CONTROLES INFORMATICOS
Controles organizativos y de direccin:
Plan Estratgico Empresarial,
Plan de S/I, Planes Operativos Anuales, etc.
Controles para desarrollo, implantacin, adquisicin y mantenimiento de S/I:
Polticas y arquitecturas de S/I
Estndares de desarrollo y de adquisicin de S/I
Estndares de implantacin y mantenimiento de S/I
Controles de explotacin de S/I:
Polticas de planificacin y gestin de recursos
Procedimientos de seguridad fsica
Procedimientos de seguridad lgica, etc.
Controles de Aplicaciones:
Control de entrada de datos,
Control de procesos,
Control de salida de datos, etc.
Controles especficos de ciertas tecnologas:
Controles de gestin de Bases de Datos,
Controles de redes, ofimtica,
Controles en Telecomunicaciones,
Controles en Internet, Intranet, Extranet, etc.